Backup und Wiederherstellung: So sichern Sie Ihr Active Directory

Beim Backup des Active Directory gibt es verschiedene Möglichkeiten. Wir zeigen Ihnen, was es bei Sicherung und Wiederherstellung zu beachten gilt.

Microsofts Verzeichnisdienst Active Directory ist im Wesentlichen eine Datenbank. Wenn dieser Dienst in Ihrem Unternehmen kritische Funktionen zur Verfügung stellt, was häufig der Fall ist, dann sollten Sie für diesen Dienst in regelmäßigen Abständen ein Backup durchführen. Wenn das Active Directory und die damit verbundenen Domänencontroller nicht mehr funktionieren, dann können sich Anwender nicht mehr anmelden, Serverdienste funktionieren nicht mehr und auch Cloud-Dienste arbeiten unter Umständen nur noch eingeschränkt.

Ein Backup des Active Directory lohnt sich also in jedem Fall.  Die gute Nachricht lautet, dass fast jedes Backup-Produkt für den Business-Einsatz einige Mittel zur Verfügung stellt, um das Active Directory zu sichern. Es gibt allerdings nicht den einen besten Weg für die Sicherung des Active Directory. Außerdem werden die meisten Unternehmen ihre Backup-Lösung nicht aufgrund der Fähigkeit zur Sicherung des Active Directory auswählen. Das stellt Sie aber vor keine unlösbaren Aufgaben, da Sie das Active Directory auch mit Bordmitteln schnell und einfach sichern können. Die Sicherung erfolgt in einer Datei, die Sie dann wiederum mit Ihrer Backup-Lösung sichern können.

Sie sollten auf jeden Fall verstehen, wie Ihre Backup-Software das Active Directory sichern kann. Diese Backup-Möglichkeiten, und noch wichtiger, ihre Grenzen, sind in der Recovery-Strategie für dieses wichtige Asset ein bedeutender Faktor. Zu einer optimalen Backup-Strategie gehört also immer auch die Berücksichtigung des Active Directory.

Active-Directory-Backup über Microsofts Volume Shadow Copy Service (VSS)

Aus Sicher der Datensicherung ist es enorm wichtig, eine saubere Kopie der im Active Directory gespeicherten Informationen zu erhalten. Dazu sollte Ihre Backup-Lösung das Active Directory zunächst in einen statischen Zustand überführen, bevor das Backup erstellt wird. Die meisten Anwendungen dürften dafür Microsofts  Volume Shadow Copy Service (VSS) nutzen. Anschließend kann der so erstellte Snapshot des Active Directory in die Backup-Lösung integriert werden.

Backup-Anwendungen zur Sicherung des Active Directory unterscheiden sich oft darin, wie sie die Kopie der Active-Directory-Datenbank speichern. Einige speichern die Daten auf einer Festplatte, andere wiederum auf Band. Nach Meinung von Storage Switzerland, einem auf Storage, Virtualisierung und Cloud spezialisierten Marktforschungsunternehmen, hat es meistens nur begrenzten Wert, Active-Directory-Backups langfristig aufzubewahren. Andererseits hat eine kurze Wiederherstellungsdauer im Fall der Fälle enorme Vorteile. Daher sollte die Datensicherung auf schnellen Backup-Medien erfolgen.

Wiederherstellen eines Active-Directory-Backups

Zwei Situationen beeinflussen die Wiederherstellung eines Active-Directory-Backups. Im ersten Szenario liegt irgendeine Beschädigung des Active Directory vor. In diesem Fall werden Sie wahrscheinlich die komplette Datenbank wiederherstellen wollen. Im zweiten Szenario wurde versehentlich ein Benutzerkonto gelöscht. Die Lösung wäre hier die Wiederherstellung eines einzelnen Objekts. Allerdings spielt der zweite Fall in der Praxis selten eine große Rolle, da Sie genau für solche Fälle Objekte vor dem versehentlichen Löschen schützen können. In Windows Server 2012/2012 R2 können Sie gelöschte Active-Directory-Elemente sogar ganz einfach über den Active-Directory-Papierkorb wiederherstellen.

Für die erste Situation, die Wiederherstellung des kompletten Active Directory, ist die Geschwindigkeit der Wiederherstellung in der Regel die größte Sorge. Manche Backup-Lösungen ermöglichen bei jedem Backup-Vorgang die Platzierung von Active-Directory-Metadaten auf einem gesicherten Backup-Server. Anders als bei sekundären Domänencontrollern gibt es hier einen zeitlichen Abstand zwischen einzelnen Events. Im Falle einer Beschädigung des Active Directory werden daher keine beschädigten Daten auf andere Domänencontroller repliziert.

Hier kann der Systemadministrator also erkennen, dass schadhafte Daten vorhanden sind und eine Wiederherstellung des Active Directory über den Backup-Server durchführen. Generell ist es aber empfehlenswert, mehrere Domänencontroller gleichzeitig zu betreiben, den Active-Directory-Papierkorb zu aktivieren und zusätzlich eine Sicherung des Active Directory auf einer Festplatte im Netzwerk abzulegen. Am besten verfügen Sie zudem auch auf einem oder allen Domänencontrollern noch über eine Kopie dieser Sicherung.  

Die zweite Situation, versehentliches Löschen eines Benutzerkontos, ist ein bisschen schwieriger. Vor allem, wenn Ihre Backup-Lösung nicht die Möglichkeit bietet, das Active Directory auf Objektebene zu schützen und eine Wiederherstellung auf Objektebene damit nicht durchführbar ist.

Leider ist  die Wiederherstellung des Active Directory auf Objektebene immer noch relativ selten. Vor allem, wenn die Wiederherstellung über eine externe Anwendung erfolgen soll, müssen Administratoren dabei auf einiges achten. Außerdem unterstützen generell erst wenige Anwendungen diese Möglichkeit. Ein häufiges Szenario wäre zum Beispiel, dass Sie mit Ihrer Backup-Lösung eine gesicherte Active-Directory-Kopie auf einem isolierten Domänencontroller wiederherstellen, und dann die entsprechenden Benutzerkonten auf diesem isolierten Domänencontroller extrahieren. Dazu würden Sie dann in den meisten Fällen PowerShell-Skripte oder Zusatzanwendungen verwenden.

Zu Beginn des Artikels habe ich erwähnt, dass es keinen optimalen Weg für Backup und Wiederherstellung des Active Directory gibt. Wenn allerdings die Wiederherstellung einzelner Objekte eine von Ihnen oft genutzte Funktion wäre, dann stellt natürlich auch eine Backup-Software die optimale Lösung dar, die diesen Zugriff auf Objektebene gewährt.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Serverbetriebssysteme